レイ・イージス・ジャパンから、Apache Log4jの脆弱性に関する緊急発表

独自開発のツールにより、Webサイトに関するLog4jの脆弱性の検査を無償提供

株式会社レイ・イージス・ジャパン（本社：東京都新宿区、代表取締役　青木　登、以下「レイ・イージス・ジャパン」）は、12月24日、セキュリティ業界を震撼させたLog4jの脆弱性に特化して本格的な検査を行うツールを独自開発し、必要な方にWebサイトのCVE-2021-44228に関する脆弱性の検査を無償で提供することを発表しました。

セキュリティ業界では、CVSSのベーススコア「10.0」で最高の危険度を持つCVE-2021-44228（通称：Log4Shell）に注目が集まっています。この脆弱性は、JNDI LDAPルックアップ機能に起因するリモートコード実行が出来てしまうということで、対策版として「Log4j 2.15.0」が緊急リリースされました。ところが、この対策版に新たな脆弱性が発見され、CVE-2021-45105として公表されました。こちらはCVSSのベーススコアは「7.5]ということで若干危険度は低くなるものの、The Apache Software Foundation（ASF）は先週、対策版となるロギングライブラリ「Apache Log4j 2.17.0」をリリースしています。

レイ・イージスでは診断サービスの中で、今回の問題について気づいていましたが、今回の脆弱性の重大性を鑑み、Log4jの脆弱性に特化して検査するツールを独自開発しました。既にメジャーな診断ツールには、本脆弱性を診断するモジュールが組み込まれつつありますが、レイ・イージスのツールでは表面的な確認にとどまらず、現実的に行われる可能性のある難読化など、WAFなどのセキュリティ対策迂回技術が適用された攻撃パターンを含んだより広範かつ現実的なものとなっています。現在提供中のレイ・イージス・ジャパンの脆弱性診断にはこの診断機能が標準で組み込まれておりますが、本脆弱性に関しては緊急性の観点から、通常の診断サービスとは別に、ご希望の方には無償で実施させていただくことにいたしました。

なお、無償提供は４月ごろまで行う予定でおりますが、診断の空き時間を利用しての提供となりますので、多少お待ちいただくことがあるかもしれませんので、ご希望の方はあらかじめご了承いただけますようお願い申し上げます。

年末のあわただしい中の発表となりましたが、詳しくは以下のサイトをご覧の上お申し込みください。

診断サービスの案内ページ https://promo.rayaegis.co.jp

レイ・イージス・ジャパンについて

セキュリティ診断サービスやセキュリティコンサルティングサービスを提供する目的で、株式会社アリス（本社：東京都新宿区、代表取締役社長：小林　賢治、以下「アリス」）及び、 RayAegis Information Security（本社、台湾、新北市新店区、責任者格江、以下「RayAegis」）との合弁で設立されました。経験豊富で技術力の高いホワイトハッカーを250名以上擁するRayAegisとともに、国内においてAIを利用した独自開発ツールを活用し、高度なWebアプリケーション脆弱性診断やペネトレーションテスト、 TLPT、 DDoS演習などのセキュリティサービスを短期間かつ効果的な価格で展開しています。

RayAegisについて

RayAegis Information Securityは、台湾大学、カーネギーメロン大学マスターコースを優秀な成績で卒業し、金融機関・政府機関などのセキュリティコンサルティングで実績を積み重ねてきた、 Ray Chiang （格江）が2011年に台湾で創業した企業です。セキュリティコンサルティングでの豊富な実績を持つ優秀なホワイトハッカー集団として、政府機関、金融機関、運輸・交通システム、大手製造業などのシステムにおけるセキュリティ対策コンサルティングで活躍しています。関連会社として、 RayAegisで発見した脆弱性などに対応するためのセキュリティソリューションを開発・販売するCloudCofferがあります。